Bloquear scaneamento

leojb
(usa Ubuntu)

Enviado em 10/05/2024 - 11:00h

Bom dia gente...

Resolvi usar um NMAP em um IP de um firewall fisico da Sophos e ele não me retornou nada, entao fiquei com a seguinte pergunta:

Consigo fazer alguma configuração (pode ser por iptables ou algum programa) q impeça q programas de escaneamento como o NMAP analisem o meu servidor de firewall linux?

aguamole
(usa KUbuntu)

Enviado em 10/05/2024 - 11:49h

esses programas escaneiam as portas abertas no computador alvo, se o firewall fechar todas as portas não tem como eles achar porta aberta né.

leojb
(usa Ubuntu)

Enviado em 10/05/2024 - 12:55h

Muito obrigado por responder...

No Firewall fisico da Sophos tem muito mais portas abertas do que no Servidor LInux.....mas msm assim o NMAP não encontrou!!!

amarildosertorio
(usa Fedora)

Enviado em 10/05/2024 - 13:05h

https://docs.sophos.com/nsg/sophos-utm/utm/9.708/help/en-us/Content/utm/utmAdminGuide/NetProtIPSAnti...

leandropscardua
(usa Ubuntu)

Enviado em 10/05/2024 - 13:34h

Se não me engano o comportamento padrão do nmap não é escanear todas as 65 mil e tantas portas. Para isso vc tem de passar o range pela linha de comando.

leojb
(usa Ubuntu)

Enviado em 10/05/2024 - 13:36h

Muito obrigado por responder amarildosertorio

Isso, eh algo desse tipo que eu gostaria de instalar em um Servidor Linux, conhece alguma regra ou programa que seja eficaz tanto quanto essa da Sophos?

amarildosertorio
(usa Fedora)

Enviado em 10/05/2024 - 13:38h

O elemento precisa ser UTM. O bloqueio deve ser baseado no comportamento.

leojb
(usa Ubuntu)

Enviado em 10/05/2024 - 13:41h

Sim....eu fiz o teste com as portas 80-65000

leojb
(usa Ubuntu)

Enviado em 10/05/2024 - 13:42h

Algum programa que vc recomenda contra o NMAP?

amarildosertorio
(usa Fedora)

Enviado em 10/05/2024 - 13:44h

Eu sou um grande fã do Wazuh. Você pode usá-lo para detectar portscans e automatizar o bloqueio no firewall. No entanto, se o firewall for UTM, você pode integrar essa funcionalidade diretamente nele.

amarildosertorio
(usa Fedora)

Enviado em 10/05/2024 - 14:12h

O Wazuh é uma plataforma de segurança cibernética de código aberto que oferece detecção de ameaças, monitoramento de integridade e resposta a incidentes em tempo real. Ele integra várias ferramentas de segurança, como detecção de intrusões, análise de logs, integridade do sistema e gerenciamento de conformidade, em uma única solução.

amarildosertorio
(usa Fedora)

Enviado em 10/05/2024 - 15:57h

Seus servidores Linux não estão atrás desse firewall Sophos? Se você está executando o scan dentro do mesmo seguimento então não passa pelo Firewall, né?!

Vi você mencionando o iptables.

O iptables e um IDS (Intrusion Detection System) são duas ferramentas diferentes, com finalidades distintas, mas complementares em uma estratégia de segurança de rede.

O iptables é usado para definir regras de filtragem de pacotes de rede, permitindo ou bloqueando o tráfego com base em várias condições, como endereço IP de origem, destino, porta, protocolo, entre outros.

Um IDS é uma ferramenta que monitora e analisa o tráfego de rede ou atividades do sistema em busca de possíveis intrusões ou atividades maliciosas. Ele pode detectar ataques ou comportamentos anômalos, como varreduras de portas, tentativas de login suspeitas, tráfego de malware, entre outros.

Um IDS é mais reativo do que o iptables, identificando e alertando sobre possíveis ameaças, mas geralmente não toma medidas diretamente para bloquear o tráfego.